Beveiligingsonderzoekers hebben een kwaadaardige Android app ontwikkeld die tijdens de installatie geen permissies aan de gebruiker vraagt, maar waardoor het toch mogelijk is om op afstand kwaadaardige code op het toestel te installeren. De onderzoekers van ViaForensics wilden aantonen dat een applicatie die geen permissies vereist, niet per definitie veilig of te vertrouwen is.

Rechten
Via de "No-permission Android app" wisten de onderzoekers remote shell op de smartphone te krijgen. "De functionaliteit die we misbruiken is niet nieuw, en is al enkele jaren bekend en werd tijdens de DefCon hackerconferentie uitgebreid besproken", zegt directeur Thomas Cannon. Hij benadrukt dat het niet om een zero-day of root-exploit gaat.

"We gebruiken Android op de manier zoals het ontworpen is, maar dan op een slimme manier om een twee-wegs communicatiekanaal op te zetten." Het probleem zou in Android 1.5 t/m 4.0 Ice Cream Sandwich aanwezig zijn en zou op alle platformen hetzelfde werken.

Achilleshiel
Andere onderzoekers demonstreerden al dat Android "permissies" lekt, iets waar ViaForensics gebruik van maakt. "In deze demonstratie zijn mogelijk Android's flexibiliteit en mogelijkheden de achilleshiel", gaat Cannon verder. De multi-tasking eigenschappen van Android zorgen ervoor dat de onderzoekers de aanvallen bijna onzichtbaar voor de gebruiker kunnen uitvoeren.